Vulnerabilidad de omisión de autenticación en BIG-IP de F5
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versiones:
- 15.x:
- 15.0.1.0.33.11-ENG Hotfix;
- 15.0.1.0.48.11-ENG Hotfix.
- 14.x:
- 14.1.0.3.0.79.6-ENG Hotfix;
- 14.1.0.3.0.97.6-ENG Hotfix;
- 14.1.0.3.0.99.6-ENG Hotfix;
- 14.1.0.5.0.15.5-ENG Hotfix;
- 14.1.0.5.0.36.5-ENG Hotfix;
- 14.1.0.5.0.40.5-ENG Hotfix;
- 14.1.0.6.0.11.9-ENG Hotfix;
- 14.1.0.6.0.14.9-ENG Hotfix;
- 14.1.0.6.0.68.9-ENG Hotfix;
- 14.1.0.6.0.70.9-ENG Hotfix;
- 14.1.2.0.11.37-ENG Hotfix;
- 14.1.2.0.18.37-ENG Hotfix;
- 14.1.2.0.32.37-ENG Hotfix;
- 14.1.2.1.0.46.4-ENG Hotfix;
- 14.1.2.1.0.14.4-ENG Hotfix;
- 14.1.2.1.0.16.4-ENG Hotfix;
- 14.1.2.1.0.34.4-ENG Hotfix;
- 14.1.2.1.0.97.4-ENG Hotfix;
- 14.1.2.1.0.99.4-ENG Hotfix;
- 14.1.2.1.0.105.4-ENG Hotfix;
- 14.1.2.1.0.111.4-ENG Hotfix;
- 14.1.2.1.0.115.4-ENG Hotfix;
- 14.1.2.1.0.122.4-ENG Hotfix.
NOTA: esta vulnerabilidad afecta únicamente a los hotfixes de BIG-IP Engineering obtenidos del soporte de F5. Las versiones major, minor, o maintenance obtenidas de la web de descargas de F5 no se ven afectadas.
Las configuraciones BIG-IP que utilizan Active Directory, LDAP o Client Certificate LDAP para la autenticación de gestión con varios servidores están expuestas a esta vulnerabilidad, que permite una omisión de autenticación que puede causar un compromiso total del sistema.
No hay actualización disponible para solucionar la vulnerabilidad. Para mitigar esta vulnerabilidad, F5 recomienda aplicar estas medidas:
Los usuarios remotos que se autentican en el sistema BIG-IP utilizando LDAP, Directorio Activo o Client Certificate LDAP, pueden iniciar sesión con credenciales incorrectas, pudiendo comprometer completamente el sistema BIG-IP. Se ha reservado el identificador CVE-2019-6675 para esta vulnerabilidad.